Audit-Pflicht (HinSchG)

Klarstellung: Es gibt keine allgemeine HinSchG-Audit-Pflicht

2. Mai 2026 · Kategorie: HinSchG · Compliance-Kit

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

Faktencheck (Stand 02.05.2026)

Es gibt KEINE allgemeine Audit-Pflicht für interne Meldestellen nach HinSchG.
§ 22 HinSchG regelt die externe Meldestelle beim Bundeskartellamt (Wettbewerbsrecht / DMA-Verstöße) — nicht eine Audit-Pflicht für Unternehmen.
Reale HinSchG-Pflichten: Vertraulichkeit (§ 8), Repressalienverbot (§ 36), 3-Jahres-Aufbewahrung (§ 11), Eingangsbestätigung 7 Tage und Rückmeldung 3 Monate (§ 17 Abs. 2).
Best-Practice (KEINE Pflicht): jährliche Wirksamkeits-Selbstprüfung der Meldestelle für GF-Reporting + ISO 37301-CMS-Audit.
Korrektur: Frühere Annahme einer „§ 22 HinSchG-Audit-Pflicht ab 01.01.2026" war falsch.

Was bedeutet „Audit-Pflicht (HinSchG)" wirklich?

Der Begriff „HinSchG-Audit-Pflicht" wurde in 2024–2025 in zahlreichen Compliance-Publikationen und Marketingtexten verwendet — meist mit Verweis auf einen angeblich neuen § 22 HinSchG, der eine jährliche Wirksamkeitsprüfung der internen Meldestelle ab 01.01.2026 anordne. Diese Pflicht existiert nicht. Eine Verifikation am Wortlaut von § 22 HinSchG (gesetze-im-internet.de/hinschg) zeigt: § 22 regelt die externe Meldestelle beim Bundeskartellamt.

§ 22 HinSchG: tatsächlicher Inhalt

§ 22 HinSchG benennt das Bundeskartellamt als externe Meldestelle für Hinweise zu Verstößen gegen das Gesetz gegen Wettbewerbsbeschränkungen (GWB) sowie gegen den Digital Markets Act (DMA). Hinweisgeber im Bereich Kartellrecht und Plattformregulierung können sich also direkt an das Bundeskartellamt wenden — parallel zur internen Meldestelle (§ 12) oder zur allgemeinen externen Meldestelle beim Bundesamt für Justiz (§ 19).

Andere externe Meldestellen im HinSchG: § 19 BfJ (allgemein), § 20 Bundesländer (optional), § 21 BaFin (Finanzdienstleistungen).

Reale HinSchG-Pflichten für Unternehmen

§ 8 — Vertraulichkeit der Identität des Hinweisgebers; Vertraulichkeitskonzept dokumentieren.
§ 11 — Aufbewahrung der Meldedokumentation drei Jahre nach Abschluss des Verfahrens.
§ 12 — Einrichtungspflicht interner Meldestelle ab 50 Beschäftigten (Finanzbranche unabhängig von Größe nach § 12 Abs. 3).
§ 17 — Bearbeitungsfristen: Eingangsbestätigung binnen 7 Tagen, inhaltliche Rückmeldung binnen 3 Monaten.
§ 16 Abs. 1 S. 4 — Anonyme Meldungen Pflicht seit 01.01.2025.
§ 36 — Repressalienverbot mit Beweislastumkehr.
§ 40 — Bußgelder bis 50.000 EUR (natürl. Person; juristische Personen bis 500.000 EUR via § 30 OWiG-Verzehnfachung).

Best-Practice: Wirksamkeits-Selbstprüfung (freiwillig)

Eine jährliche Wirksamkeits-Selbstprüfung der internen Meldestelle ist gute Compliance-Praxis und in ISO 37301:2021 (Compliance Management Systems) als Bestandteil des Management-Reviews vorgesehen — sie ist jedoch keine HinSchG-Pflicht. Sinnvoll als jährliches GF-Reporting-Instrument zur Risiko- und Reputationssteuerung.

Quellen

HinSchG (Hinweisgeberschutzgesetz), gesetze-im-internet.de/hinschg
Bundesamt für Justiz (BfJ), Meldestelle des Bundes
Bundeskartellamt — externe HinSchG-Meldestelle nach § 22
ISO 37301:2021 (Compliance Management Systems)